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(54) nUe: METHOD FOR THE SECURE UPDATING OF AN EEPROM MEMORY 
(54) Titre: PROCEDE DE MISE A JOUR SECURISEE DE MEMOIRE EEPROM 
(57) Abstract 

Non volatile memories arc described, particularly microprocessor smart card memories. 
In order to prevent the loss of sensitive data during a data updating operation in the memory, 
for example if a power cut occun during the updating, an updating method according to 
the invention is pn>vided. which includes saving the data to be updated in a bacicup region; 
programming a descriptor field for said region and erasing the descriptor field for the following 
region of the backup memory (for a forthcoming data updating operation); enabling an indicator 
corresponding to the bacicup region; updating the data; and disabling the indicator if the 
operation has been successful. The backup region is different every time. It is defined by 
scanning the backup memory and is identified as the first region of the backup memory havmg 
an erased indicator. When the power supply to the card is restored, the presence of an enabled 
indicator is systematically checked for, and the data saved in the corresponding regions are 
sent back to the main mc;mory. 

(57) Abr^^ 

L*inventton concerne les m^moires non-volatiles et notamment les m6moircs de cartes 
& puce ^ microproccsscur. Pour ^viier la pcrtc dc donndes sensibles lors de la misc a jour 
de donn^es dans la m6moire, par exemple si une interruption d^alimentation se produit en 
cours de misc & jour, on pr6voit scion Tinvcntion un procddd dc misc k jour dans Icqucl: 
on sauvegaide la donnde ^ mcttre & jour dans unc zone dc sauvcgarde; on programme un 
champ dcscriptcur dc ccttc zone et on efface Ic champ descripteur dc la zone suivantc dc 
la m6moire de sauvcgarde (en vue d'unc prochaine operation dc misc i jour dc donndc); on 
active un indicareur corrcspondant k la zone dc sauvcgarde; on met ^ jour la donn6c; ct on 
d6sactive Tindicaieur si tout s'cst bien pass6. La zone dans laqucllc on cffecnic la sauvcgarde 
est diff6rente ^ chaque fois: on la d6finit en balayant la m6moire dc sauvcgarde: c 'est la 
premiere zone de la m6moire de sauvcgarde qui a son dcscriptcur cffac6. Lors d'une remise 
sous tension dc la carte, la presence d*un indicatcur active est systdmatiquemcnt y6rifi6c, et les 
donndes sauvcgardtes dans les zones coirespondantes soni remises dans la m6moire principalc. 
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PROCBDE DE MX8B A JOUR SECURZ8EE DE MEMOXRE 

EEPROM 

L' invention concerne les m^moires non-volatiles, 
telles que les memoires EEPROM et les circuits associfes 
permettant de mettre a jour d'une manifere sflre les 
donn6es contenues dans ces memoires. 
5 La nise 4 jour d'une donn6e consiste h reroplacer, a 

une adresse d6teniiin6e de la nSmoire, une ancienne 
donn^e par une nouvelle donn6e. Cette operation dure un 
certain temps. II peut arriver accidentellement que la 
tension d' alimentation de la m^moire soit coupee 
10 pendant cette mise a jour. Si c'est le cas, on perd a 
la fois 1' ancienne donnee et la nouvelle. 

Lorsque les donnfees 4 enregistrer sont des donnSes 
"sensibles", c'est-a-dire des donnees dont la 
conservation est critique dans 1 ' application 
15 consideree, cette situation est inacceptable. 

Un exeinple d ' application est le suivant : la 
m^moire est celle d'une carte a puce; les donnSes 
repr^sentent une valeur economique enregistrSe dans la 
carte; ces donnfees sont sensibles; elles sont remises a 
20 jour lorsque la carte est utilisee dans un lecteur de 
cartes pour obtenir des produits ou des services. En 
cas d'arrachement intempestif de la carte hors du 
lecteur en cours d'op6ration de remise & jour, les 
donnfees representant la valeur r^siduelle de la carte 
25 risquent d'fetre perdues, au detriment du possesseur de 
la carte ou du prestataire de produits ou de services. 

Pour 6viter cette situation, on a d6ja propose des 
m^canismes de mise a jour de mfemoire dans lesquels 
toute mise a jour debute par une operation de 
30 sauvegarde de 1' ancienne donnee dans un autre 
emplacement de memoire non volatile avant de mettre a 
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jour la nouvelle donn6e d I'adresse voulue. si 
1' operation de mise a jour se dSroule mal, on conserve 
au moins I'ancienne valeur de la donnee. 

Une difficulte de realisation de ces systdmes 
5 reside dans la gestion des espaces de memoire qui 
doivent §tre utilises pour sauvegarder I'ancienne 
donnee. Un pointeur non volatil (registre de memoire 
EEPROM) est en g6n6ral utilise pour indiquer 
1' emplacement de la zone de memoire contenant 
10 1' information sauvegardee. 

On pourra par ailleurs se reporter a I'etat de la 
technique const itu6 par le brevet frangais publie sous 
le numero: 2 665 791 dans lequel on fait egalement 
appel a un pointeur d'adresse pour indiquer I'adresse 
15 de la zone contenant la valeur courante de 
1 ' information . 

Le brevet frangais public sous le n* 2 665 791 
illustre la difficult^ de gerer I'espace memoire pour 
la sauvegarde. La solution proposee dans ce brevet 
20 consiste a utiliser, pour chaque information a 
memoriser, N zones memoires permettant la sauvegarde de 
N valeurs successives de cette information. Une zone 
suppl^mentaire (pointeur) est utilisee pour reperer la 
valeur courante de 1 ' information. 
25 A chaque mise a jour, on modifie la valeur du 

pointeur, Dans le cas oil seules la valeur ancienne et 
la valeur courante sont conservees, deux zones sont 
reservges pour les memoriser et le pointeur passe 
alternativement de I'fetat 1 a l'6tat 0 pour indiquer 
30 dans laquelle de ces deux zones se trouve la valeur 
courante. 

Le precede de mise a jour propose ne donne pas 
entierement satisfaction et pr^sente des risques de 
mauvais f onctionnement . Ces risques sont dus notamment 
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un usage intensif des cellules de mSmoire constituant 
le pointeur (ou indicateurs dans le cas des autres 
proc6d6s cit6s). Ces cellules sont sujettes a un 
vieillissement et & une perte de fiabilite lorsque les 

5 effacements et programmations sont trop frequents. 

La prfesente invention cherche a feliminer le plus 
possible les risques de mauvais f onctionnement et par 
consequent les risques de partes de donnies sensibles 
lors de la mise a jour de ces donn6es. 

10 pour cela, on propose selon 1' invention un proc6d6 

de nise a jour ne comportant pas de pointeur physique 
et congu de sorte que les operations de raise a jour 
fatiguent le laoins possible les diffSrentes raeraoires 
utilis6es pour assurer la sauvegarde de donn6es 

15 sensibles. 

on propose done un proc6d6 de mise a jour d'une 
donn6e sensible dans une rafemoire non-volatile 
principale, comportant les operations consistant a : 

- sauvegarder dans une memoire de sauvegarde non 
20 volatile I'ancienne valeur de la donn6e; 

- activer un indicateur de sauvegarde pour indiquer 
qu'une donn6e vient d'etre sauvegardee et qu'une 
modification de donnee sensible est en cours; 

- modifier la donnee sensible dans la memoire 

25 principale; 

- et desactiver 1' indicateur si la modification de 

la donnee s'est deroulee correctement , 
ce precede etant caracterise en ce que : 

- la memoire de sauvegarde est divisee en zones de 

30 memoire; 

- une zone de memoire respective differente de la 
precedente est utilis6e a chaque nouvelle mise a jour 
pour sauvegarder I'ancienne donnee dans la memoire de 
sauvegarde ; 
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- au moins un chaxap des zones de la memoire de 
sauvegarde, appelS champ descripteur, est utilise pour 
rep6rer la zone de mfemoire de sauvegarde qui doit £tre 
utilis^e au cours d'une operation de mise & jour; 
5 Avantageusement, 1' operation de mise a jour 

commence par la recherche, dans la memoire de 
sauvegarde, de la premidre zone de memoire comportant 
un champ descripteur ayant une valeur caracteristique 
(en pratique ce sera un champ completement efface) ; 

10 et 1' operation de sauvegarde de I'ancienne donn6e 
comporte la modification du champ descripteur de la 
zone de sauvegarde de I'ancienne donnee et comporte 
^galement 1' inscription de ladite valeur 

caracteristique dans le champ descripteur de la 

15 premiere zone de memoire suivant immediatement cette 
zone. 

La mise a jour d'une donnee sensible comporte en 
pratique la lecture systematique des champs 
descripteurs de la memoire de sauvegarde jusqu'a 

20 trouver une premiere zone dont le champ descripteur est 
efface; la sauvegarde dans cette zone de I'ancienne 
valeur de la donnee sensible a mettre a jour; 
I'effacement d'une deuxieme zone suivant la premiere 
zone, en vue de la prochaine sauvegarde; 1' activation 

25 d'un indicateur pour la premiere zone, indiquant que 
des donnees ont ete sauvegardees dans cette zone; la 
modification de la donnee sensible dans la memoire 
principale; la dfesactivation de 1' indicateur si la 
modification s'est deroulee normalement* 

30 Ce n'est pas tou jours la mSme zone de memoire qui 

est utilisee pour la sauvegarde des donnees sensibles. 
Les dif fgrentes zones disponibles sont utilisees 
success ivement. Si toutes les zones ont 6t6 utilisees, 
on peut envisager de recommencer par la premiere, 
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c'est-a-dire que lorsque la derniere zone est utilisfee, 
on procede a I'effacement de la premiere. II n'y a pas 
de pointeur non volatil pour indiquer quelle zone doit 
#tre utilisSe 4 un moment donn4, mais c'est 
1' observation du contenu des zones qui determine la 
zone a utiliser. Par consequent, non seuleinent on evite 
complfetement les risques de fatigue et done d'erreurs 
das a I'fecriture frequente dans un pointeur, mais on 
minimise la fatigue des zones de sauvegarde en 6crivant 
success ivement dans N zones differentes et en 
recommengant a fecrire dans une zone seulement lorsque 
toutes les zones ont ete utilis6es. 

L'indicateur de sauvegarde fait de pr6f6rence 
partie de la zone de sauvegarde dans laquelle une 
ancienne valeur de donn6e sensible est sauvegardSe. 

Lorsque la mSmoire est remise sous tension, un 
programme systematique de verification est effectu6 : 
on recherche la presence d'un indicateur active dans la 
memoire de sauvegarde, et on r6ecrit dans la memoire 
principale 1' ancienne donn^e sauvegardee dans la zone 
designee par cet indicateur active. 

Dans certains cas, on cherche a mettre a jour un 
ensemble coherent de plusieurs donnees sensibles qui ne 
doivent pas etre raises i jour separement sous peine de 
perdre la coherence du contexte de 1 ' application. 
Cependant, la memoire ne permet de faire des 
effacements et ecritures que pour une donnee k la fois. 

L' invention est alors encore applicable dans ce cas 
de la maniere suivante : chaque donnee sensible est 
sauvegardee dans une zone respective, avec a chaque 
fois effacement du champ descripteur de la zone 
suivante et activation de l'indicateur de sauvegarde de 
la zone contenant des donn6es sauvegard6es ; puis, 
modification de la donn6e sensible correspondante ; 
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enf in, aprds que ces operations aient 6t6 faites pour 
la derniSre donnee, sauvegard^e dans une zone de 
rang R, la zone suivante de rang R+1 ayant 6t6 effac&e, 
on active un indicateur supplement a ire qui est 
5 1' indicateur de la zone de rang R+i; enfin, on 
desactive successivement les indicateurs actives 
precedemment , en comxnengant par le dernier, en 
remontant vers les precedents, et en terminant par 
1' indicateur suppl6mentaire. 
*0 Ceci permet de garder 1' ensemble de I'ancien 

contexte tant que toutes les nouvelles donn6es n'ont 
pas 6te modifiees, et surtout tant que les indicateurs 
de sauvegarde n'ont pas tous et6 remis Sl zero. 

Dans une realisation particuliere de 1' invention, 
15 on pourra associer la memoire de sauvegarde un 

registre de validite dont le contenu definira si les 
differentes zones de sauvegarde sont en etat de 
fonctionner. Lorsgue des zones deviennent non fiables 
(ce que I'on detecte a chaque programmation en 
20 comparant le contenu qu'on veut programmer et le 
contenu qu'on a reellement programme), on I'indique 
dans le registre de validite. Dans ce cas, lorsqu'on 
prepare la zone de sauvegarde suivante (effacement de 
son champ descripteur) en vue d'une future operation de 
25 mise a jour, la zone suivante consideree est la zone 
valide suivante, c'est-a-dire qu'on ne considdre pas 
comme zone suivante une zone dont le registre de 
validite indique qu'elle ne doit pas etre utilisee. 

L' invention est particulierement applicable aux 
30 cartes & puces comportant un microprocesseur et une 
memoire non volatile principale (EEPROM en general) . La 
carte comporte alors un programme de systeme 
def inissant le deroulement des operations de mise a 
jour de donnees sensibles conf ormement au precede 
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dfefini ci-dessus, et un progranane de restauration de 
donn^es a la remise sous tension, ce progranune 
comportant la verification syst6inatique de -l'6tat des 
indicateurs de sauvegarde, la r6inscription de donnfees 
5 sauvegard6es en f ©notion de I'fetat des indicateurs, et 
la d6sactivation des indicateurs activ6s. 

D'autres caractferistiques et avantages de 
1' invention apparaltront a la lecture de la description 
10 d6taill6e qui suit et qui est faite en r6f6rence aux 
dessins annexes dans lesquels : 

- la figure 1 reprfesente un circuit de carte a 
infemoire a microprocesseur dans lequel 1' invention peut 

Stre mise en oeuvre; 
,5 - la figure 2 repr6sente 1 ' organisation de la 

memcire servant a la sauvegarde des donnees sensibles 

avant mise Bl jour; 

- la figure 3 reprfesente un organigramme du precede 
de mise a jour selon 1' invention, dans une premiere 

20 realisation; 

- la figure 4 reprSsente un organigramme dans une 
autre realisation permettant la mise a jour coh§rente 
d ' un gr oupe de donnees • 

25 L' invention etant principalement applicable aux 

cartes a puces, c'est dans ce contexte qu'elle va fetre 
dfecrite. De plus, 1' invention sera mise en oeuvre de 
preference dans une carte a microprocesseur, comprenant 
non seulement une memoire non-volatile pour stocker 

30 des donnees variables, mais aussi un microprocesseur 
pour gerer les echanges de donnees entre I'interieur et 
I'exterieur de la carte. On comprendra cependant que 
les taches qui vont etre decrites ci-aprfes pourraient 
etre executees dans une carte sans microprocesseur. 
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pourvu qu'un automate c^ble appropriS soit pr6vu dans 
la carte pour executer ces tSches* 

La figure 1 represente une carte a puce a 
microprocesseur . Le microprocesseur MP est reliS par un 
5 bus B aux differentes memoires de la carte et aux ports 
d' entree/sortie de la carte. Un port I/O est represente 
sur la figure 1. 

Parmi les memoires il y aura en general : 

- une memoire non volatile principale MNVP, 
10 programmable et effa9able electriquement , pour 

I'enregistrement de donnees utiles dans 1' application 
de la carte a puce; ces donnees sont modifiees au cours 
des utilisations successives de la carte, et certaines 
4es donnees sont des donnees sensibles qui ne doivent 
15 p'as 6tre perdues lors d'une interruption intempestive 
en cours de mise a jour de ces donnees; 

- une memoire volatile de travail RAM, comme il y 
en a dans tous les systemes a microprocesseurs, pour 
stocker les donnees intermediaires necessaires au cours 

20 d'une utilisation de la carte; 

- une memoire morte ROM, contenant des programmes 
de systems permettant le f onctionnement de la carte, 
programmes qui ne varient pas d'une utilisation a une 
autre de la carte; - 

25 - une memoire non volatile de sauvegarde MNVS, 

programmable et eff arable electriquement , necessaire 
pour conserver I'ancienne valeur d'une donnee pendant 
la mise a jour de cette donnee dans la memoire 
principale. 

30 Cette derniere memoire est representee, pour 

simplifier, comme une memoire distincte de la memoire 
principale MNVP. On comprendra cependant qu'elle peut 
dtre constitute physiquement par une portion, reservee 
a cet effet, de la memoire principale. Dans ce cas, un 
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certain nombre d'adresses seront r6serv6es i la mSmoire 
de sauvegarde MNVS. La seule contrainte pratique est 
que ces adresses doivent se suivre de manifere continue, 
af in que le contenu de la memoire MNVS puisse Stre 
facilement explorfe sSquentiellement dans un ordre 
invariable. 

on a encore represents sur la figure 1 un registre 
non volatil facultatif RV appel6 ci-apres registre de 
validity dont on expliquera plus loin l'int6r§t. II 
peut aussi faire partie de la mfemoire MNVP ou de la 

mfeinoire MNVS. 

Le but de 1' invention est, on le rappelle, de 
pouvoir mettre a jour toute donnee sensible de la 
memo ire MNVP en conservant I'ancienne donn6e pour la 
rfeutiliser dans le cas o<l le dferoulement de la mise a 
jour serait intempestivement interrompu avant la fin de 

son execution. 

L' organisation de la mSmoire de sauvegarde MNVS, 
representee a la figure 2, est la suivante : elle 
comporte N zones de sauvegarde; chaque zone permet de 
sauvegarder une donnfee sensible; les zones sont 
utilisees tour a tour, c'est-S-dire que lorsqu'une zone 
a ete utilis6e pour une sauvegarde , c'est une autre 
zone qui est utilisee pour la sauvegarde suivante; 
lorsque toutes les zones ont etfe utilisees, on peut 
recommencer cycliquement ; mais on pourrait aussi 
prevoir que la carte n'est plus utilisable apres 
consommation des N zones, ou encore que la mise a jour 
cesse d'etre securisee. 

Pour assurer la sauvegarde d'une donnee sensible 
avant mise a jour, chaque zone de sauvegarde comporte 
plusieurs champs. Les champs d'une zone sont de 
preference les suivants : 
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- Champ Fl d' indicateur de sauvegarde (un bit peut 
suf f ire) , indiguant gu'une donn6e vient d'§tre 
sauvegardSe et peut 6tre r6cup6r6e si la mise & jour ne 
s'est pas dSroulge correctement juscju^au bout; 
5 - champ F2 descripteur de zone, donnant des 

informations sur les donnees du ou des champs 
suivants : longueurs de donnees, codes de verification, 
etc,; plus g6n6ralement tous les descripteurs 
necessaires a 1 ' interpretation des donnees stock6es 
10 dans la zone et au contrdle d' integrity de ces donnees; 
dans une realisation particuliere, on prevoira que le 
champ descripteur comporte en outre I'adresse d'origine 
des donnees sauvegardees dans la zone; il faut 
comprendre cependant gue cette adresse pourrait etre 
15 dans un autre champ gue le champ descripteur; 1' adresse 
d'origine peut en particulier se trouver dans le champ 
deer it ci-apres (champ de donnees) , pourvu que le champ 
descripteur permette de distinguer la donnee 
sauvegardee et 1' adresse d'origine de cette donnee; 
20 - champ F3 de donnees sauvegardees; en principe un 

seul champ, dimensionne en fonction de la taille 
maximale des donnees susceptibles d'etre sauvegardees. 

Le champ descripteur F2 est represente dans un 
exemple oil il comporte quatre sous-champs : 
25 - CHKS : information codee sur 7 bits permettant de 

verifier I'integrite des donnees contenues dans la 
zone; c'est par exemple la somme des bits enregistres 
d'une part dans les sous-champs suivants du champ 
descripteur et d' autre part dans le champ de donnees; 
30 - LNG : octet codant la longueur reelle des donnees 

sauvegardees ; 

- ADh, ADb : octets d' adresse (poids forts et poids 
faibles) d'origine des donnees sauvegardees; cette 
adresse est necessaire pour restaurer les donnees 
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sauvegardfees dans le cas oa la mise & jour ne se serait 
pas deroulfee correctement. 

T>T«e&dMf da miae & ^Qllr de donnee s»ffsA|a^# 

5 

La procedure de mise a jour est rappelfee dans 
I'organigramme de la figure 3, dans le cas oti la 
sauvegarde des donnSes est purement individuelle, 
c'est-a-dire lorsqu'il n'est pas necessaire de 
10 s' assurer de la coherence de plusieurs donn^es a la 
fois. 

La procedure comporte, dans le cas oil la donnfee S 
sauvegarder est sensible, les 4tapes suivantes : 

- balayage syst^matique , tou jours dans le m6me 
15 ordre, de la inferooire MNVS, pour rechercher une zone 

dont le champ descripteur a une valeur caractSristique 
predefinie; de prfefference cette valeur caractSristique 
est 0 (tous les bits a 26ro) , correspondant a un 
effacement total du champ descripteur; ce sont en 
20 principe les programmes de systSmes, en mSmoire ROM, 
qui determinent 1' ordre dans lequel la memoire MNVS est 
balay6e; soit R (compris entre l et N) , le rang de la 
premiere zone trouvee avec descripteur efface; 

- 6criture dans la zone de rang R de I'ancienne 
25 valeur de la donnee a mettre h jour, en vue de la 

sauvegarder; la donnee est ecrite dans le champ de 
donn6es; le champ descripteur est modifife en 
consequence; I'adresse d'origine de la donnee est 
sauvegardee dans le champ descripteur; les autres 
30 donn6es de verification d'int6grit6 ou d' interpretation 
sont ecrites dans le champ descripteur; I'fecriture dans 
la zone de sauvegarde est de preference suivie 
immediatement d'une verification de ce qui a 6te ecrit; 



BNSDOCID: <W0 9625743A1_L> 



wo 96/25743 



12 



PCT/FR96/00247 



- effacement du champ descripteur de la zone 
suivante, de rang R+l, en vue de la prochaine 
sauvegarde; ou plus g^n^ralement progranunation de la 
valeur caracteristique dans ce champ si la valeur 

5 caracteristique n'est pas z6ro; le champ descripteur au 
moins est efface, mais on peut aussi prevoir d'ef facer 
le champ de donnees de cette zone de rang R+1; 

- activation de I'indicateur de sauvegarde 
(champ Fl de la zone de rang R) ; dans ce qui suit on 

10 considerera que I'indicateur comporte un bit seulement, 
que I'etat initial est I'fetat logique 0 et que 
1' activation consiste dans la mise a l'§tat 1; 
1' activation de I'indicateur d'une zone represente la 
presence dans cette zone de donnees sauvegardees 

15 r^utilisables en cas de probleme; 

- mise a jour effective de la donnee sensible, 
c'est-a-dire modification de cette donn&e dans la 
mSmoire principale MNVP; la modification inclut en 
principe une lecture immediate, pour verification, de 

20 la donnee modifiee; 

- desactivation de I'indicateur d' activation 
(retour a I'etat 0) si le deroulement de 1' operation a 
6te normal d'un bout a 1' autre. 

25 Dans le cas oCl le deroulement a ete normal, la 

carte peut etre retiree du lecteur et reutilisee 
normalement. Elle contient les donnees mises a jour. 

Les paragraphes suivants traitent des cas 
d ' interruption anoznxiale de la procedure et de la 

30 restauration de 1 ' ancienne donnee . L' interruption est 
en pratique une coupure d ' alimentation , notamment par 
retrait intempestif de la carte. 
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Si 1' interruption anormale a eu lieu avant que 
I'indicateur d'activation ait 6t6 mis a l, aucune 

5 operation particulifere ne doit fetre effectuee a la 
remise sous tension. En effet, les donnees n'ont pas 
coinmenc6 t etre mises a jour. Certes il est possible 
qu'on ait conumencfe a ecrire dans une zone de 
sauvegarde, mais on n'a pas alt6r6 les donnfees de la 

10 memoire principale MNVP. Tout se passe comme si la 
carte n'avait pas fetfe utilisee. Elle contient les 
donn6es qu'elle avait deja auparavant. Ces donn6es ne 

sent pas perdues. 

Si au contraire 1 ' interruption anormale a lieu 
15 pendant que I'indicateur d' activation est a 1, cela 
veut dire que la mise a jour dans la m6moire principale 
a commencfe. On ne sait pas si la memoire principale 
contient alors I'ancienne donnfee, ou la nouvelle 
donn6e, ou n'importe quelle information inutilisable, 
20 par exemple une zone vide resultant de 1 ' ef f acement 
total de la donn6e avant reecriture. 

C'est pourquoi le programme de systems (en 
memoire ROM) de la carte verifie systematiquement 
l'6tat des champs d' activation de la memoire MNVS a 
25 chaque remise sous tension de la carte. Si un 
indicateur est trouv6 a 1 pour une zone, le contenu du 
champ de donnees de cette zone est rfeecrit dans la 
memoire principale, a I'adresse indiquee dans le champ 
descripteur correspondant. Puis I'indicateur 

30 deactivation est remis & z6ro. La mSmoire principale se 
retrouve dans l'6tat qu'elle avait avant la tentative 
SchouSe de mise a jour. 

Si enfin 1 ' interruption intempestive se produit 
apres que I'indicateur d' activation ait 6t6 remis a 
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z6ro , cette interruption n ' a pas d ' ef f et : la mise k 
jour a 6t6 ef feature compl&tement ; il n'est pas 
n6cessaire de pr6voir une restauration de donnees 
anciennes. 

5 

invalidation de cartaines zones de sauveaarde 

On prevoit de pr6f6rence que certaines zones de la 
mfemoire de sauvegarde MNVS peuvent Stre invalidies si 

10 elles sont reconnues d6f ectueuses • 

Cela peut 6tre le cas par exemple si elles sont 
cycliguement utilis6es et sont done soumises a un 
certain vieillissement • Ces zones reconnues 
d^fectueuses ne doivent plus Stre utilisees pour la 

IS sauvegarde de donnees sensibles. 

Pour cela, lorsgu'un probldine d'fecriture ou 
d'ef faceinent est detects sur une zone de sauvegarde, la 
zone est mise hors service par I'intermSdiaire d'un 
registre non volatil, appelS registre de validity des 

20 zones de sauvegarde (registre RV sur la figure 1) . 
L' existence d'un problSme est detecte en principe par 
coroparaison entre les donnees lues a 1^ issue d'une 
programmation et les donnees qui auraient da etre 
inscrites. De xnaniere g6nerale, toute ecriture dans les 

25 mfemoires non volatiles est en principe suivie d'une 
lecture de verification. 

Le registre de validity contient un bit pour chaque 
zone de sauvegarde . II peut d ' ailleurs etre constitue 
par un chaxnp supplexnentaire a l'int6rieur mdme de la 

30 m^moire HNVS . Par exemple , un bit a 1 indique que la 
zone correspondante est invalide et ne doit pas etre 
utilisee. 

Dans ce cas , lors des procedures d&cr ites 
pr^cSdemment , on comprendra que le passage d^une zone §i 
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15 



20 



une zone suivante comporte d'abord la verification de 
la validity de cette zone. Dans le cas oil la zone 
suivant la zone de rang R est invalids, la zone de rang 
R+1 ne sera pas cette zone invalide mais la premifere 
zone valide suivant la zone de rang R. Ainsi, par 
exemple, lorsqu'on explique que le champ descripteur de 
la "zone suivante" doit #tre efface, c'est la zone 
suivante valide qui est concernfee. 

Le registre de validity n'est pas sujet a un 
vieillissement car il est tres rarement programmfe et 
les bits programmes ne sont plus effaces. 

caa oa toutaa les zones val idaa ent 6t6 utilis^es 



Lorsque toutes les zones (zones valides dans le cas 
oa un registre de validite est present) ont 6t6 
utilis#es, on peut pr6voir que la carte ne peut plus 
fonctionner. Ou encore on peut pr6voir que les mises a 
jour s'effectuent d^sormais sans sauvegarde. Mais on 
peut prfevoir aussi que la recherche et 1 'utilisation 
des zones est cyclique, c'est-a-dire que lorsqu'on doit 
sauvegarder une information dans la derniere zone de la 
m6moire MNVS, le programme d'effacement de la zone 
suivante realise I'effacement de la premiere zone 
25 (valide) de la m§moire. On r6utilise done une deuxieme 
foi£5 la m6moire MNVS. On peut effectuer un nombre de 
cylces limits ou non limits. Si on doit limiter le 
nombre de cycles d'utilisation on comprend qu'il faut 
pr6voir un compteur non volatil pour enregistrer le 
30 nombre de cycles effectuSs. 
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Sayvqarde »t restauration de pluaieura donn^^a ip n 
contexfce senaibla 

On s'interesse maintenant au cas oH non seulement 
5 les donn6es individuelles sont sensibles, mais aussi oH 
plusieurs donn^es forment un tout dont la coherence 
doit etre conservee, c'est-a-dire qu'on ne peut pas 
mettre d jour une donn^e si les autres donnees du 
groupe coherent ne sont pas raises 11 jour. 
10 Les donnees ne peuvent cependant §tre mises a jour 

gu'une par une, par exemple en raison de leur longueur 
ou en raison du fait qu'elles sont situees a des 
adresses diff6rentes. 

Dans ce cas, on proc6de de la maniere suivante : 
15 d'une part les indicateurs d' activation des donnees 
individuelles ne sont pas rexais a z6ro imiafidiatement 
apres mise & jour de chague donn6e, mais on attend que 
toutes les donnees aient 6t6 mises & jour; d' autre part 
un indicateur supplgmentaire, specif igue de 1' existence 
20 d'un groupe cohferent, est activfe pour indiguer gue la 
totalite des donnSes du groupe a 6t6 mise Sl jour. Get 
indicateur est remis a zero en dernier, apres remise a 
zero de tous les indicateurs de donnees individuelles. 

L' indicateur suppl6roentaire est de preference 
25 const itu6 par le champ d' indicateur de la zone effacee 
suivant imm6diatement la zone contenant la sauvegarde 
de la derniere donnee individuelle du groupe coherent. 

Plus pr6cis6ment, dans ce cas la procedure de mise 
a jour du groupe coherent comport e les etapes 
30 suivantes, rappel6es dans I'organigramme de la 
figure 4 : 

a. recherche de la premi&re zone dont le champ 
descripteur est effac6 (ou bien sflr une autre valeur 
caractSristigue de champ descripteur) ; la zone trouvee 
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a un rang R+i, i 6tant un indice repr6sentant le numfiro 
d'ordre de mise a jour de chaque donn6e individuelle 
dans le groupe coherent et 6t:ant 6gal & 24ro au depart 
de la procedure; le cas oii toute la n^noire a d6ja et6 
5 utilisSe a 6t:6 trait6 plus haut et peut se rfesoudre de 
la iii6ine mani&re : invalidation de la carte, mise a jour 
sans sauvegarde, ou f onctionnement cyclique de la 

m^moire MNVS; 

b. sauvegarde d'une donnfee individuelle dans 
10 cette zone de rang R+i, avec prograinmation 

correspondante du champ descripteur (octet de 
verification de somme, octet de longueur, octets 
d'adresse d'origine de la donnie) ; 

c. recherche de la zone valide, de rang R+i+1, 
15 suivant la zone de sauvegarde; et effacement du 

descripteur de cette zone suivante; 

d. activation de I'indicateur de sauvegarde de 
la zone de sauvegarde (rang R+i) ; 

e. modification, dans la m^moire principale 
20 MNVP, de la donn€e sensible dont I'ancienne valeur 

vient d'etre ainsi sauvegard6e ; 

f. - incrementation de i et retour a I'etape (a) 
si une autre donnee individuelle faisant partie du meme 
groupe coherent doit Stre mise a jour; 

25 - ou au contraire, si la derniere donnfee 

individuelle du mSme groupe cohirent a 6t6 mise k jour, 
on passe S l'6tape suivante (g) ; 

g. activation de I'indicateur de sauvegarde de 
la zone (effacee) de rang R+p. Le rang R+p-1 6tant le 

30 rang de la zone de sauvegarde de la dernifere 
information individuelle mise h jour, p 6tant le nombre 
de donnees individuelles faisant partie du groupe 
coherent; cet indicateur d' activation suppl6mentaire, 
associe & une zone effacee et non a une zone utilisee 
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en sauvegarde , constitue 1 ' indicateur supplementaire 
merit ionne plus haut, servant: a garantir la coherence de 
remise a jour du groupe comme on le verra plus loin; 

h. dSsactivation (remise a zero) successive des 
5 indicateurs de sauvegarde des differences zones de 

sauvegarde, dans I'ordre inverse de leur activation, 
c'est-a-dire en commen^ant par le rang R+p-1 et en 
remontant jusqu'a R; 

i. dSsactivation de I'indicateur supplementaire 
10 associS h la zone effacSe de rang R+p. 

Interruption de mise h iour en cours de route 

Si une interruption d' alimentation se produit dans 

15 les etapes (a) & (f ) # certaines donndes ont ete mises 1^ 
jour, mais pas n^cessairement toutes. Les zones de 
sauvegarde dont I'indicateur est a 1 contiennent une 
ancienne donnee sauvegardSe; celles dont I'indicateur 
est encore & 0 contiennent une information incertaine 

20 mais dans ce cas 1' ancienne donnee est encore presente 
dans la memoire principale. Pour la coherence du groupe 
il est necessaire de ne pas toucher a la memoire 
principale pour les donnees de zones dont I'indicateur 
est a zero, et de restaurer dans la memoire principale 

25 les donnees des zones dont I'indicateur est a !• La 
coherence du groupe est conserv6e. Les donnees gardent 
toutes leur ancienne valeur. 

Si une interruption d' alimentation se produit au 
cours des etapes (g) et (h) , ce que I'on salt par la 

30 presence de 1 ' indicateur supplementaire (rang R+p) a 1 , 
on peut affirmer que toutes les donnees du groupe ont 
ete mises & jour. II y a coherence pour les nouvelles 
valeurs, et il n'est pas necessaire de restaurer les 



wo 96/25743 



19 



PCT/FR96/a0247 



anciennes valeurs, mftsie si cert:ains lndicat:eurs des 
zone» R & R+p-1 sont tou jours a 1. 

Enfin, si 1' interruption se produit alors que 
I'indicateur supplSnentaire est revenu a zero (etape i 
5 et aprds) , on peut considerer que la mise a jour 
cohSrente est compl&tement terminee et il n'y a rien a 
f aire. 

Raatauraticn aorea eouBure alimentation 

10 

Le programme de systdme qui se dferoule 
automat iquement a chaque remise sous tension de la 
carte comporte alors les Stapes suivantes : 

a 1 . recherche d ' une z one de sauvegarde ayant son 
15 indicateur de sauvegarde a 1 (zone de rang compris 
entre R et R+p-1) 

bl . recherche de la zone ef f acee (rang R+p) qui 
devrait avoir son indicateur a 1; 

cl. - si la zone effac6e n'existe pas ou si son 
20 indicateur deactivation est a zero. (inactiv6) : 
6tape dl; 

- sinon : etape d2 ; 
dl. restauration dans la memoire principale MNVP 
de chacune des donnees sauvegardees dans les zones dont 

25 1' indicateur est activ§, et desactivation a chaque fois 
de I. ' indicateur correspondant , en commenq:ant par la 
zone utilisee en dernier et en terminant par celle qui 
a etfe utilisee en premier (on rappelle que la 
sauvegarde a lieu dans I'ordre des zones) ; on peut 

30 terminer en effagant le descripteur de la zone suivant 
la derniere zone utilis6e en sauvegarde, pour tenir 
compte du fait que dans l'6tape cl on n'a peut-fetre pas 
trouve de zone effacee; on aura en effet besoin d'une 
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zone effac6e pour une operation de mise a jour 
ult6rieure; 

d2. effacexnent successif de tous les indicateurs 
des zones de sauvegarde uti Usees en commen^ant: par 

5 celui qui a 6t€ active en dernier, en remontant Sl celui 
qui a 6t6 active en premier, et en terminant par 
I'indicateur supplementaire de la zone dont le 
descripteur est efface. 

On peut ainsi constater que la mise a jour 

10 coh6rente de plusieurs donn^es est possible, sans qu'il 
soit necessaire de pr6voir des pointeurs non volatils 
pour rep4rer les diff^rentes zones de sauvegarde du 
groupe coherent. 
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REVENDICATION8 

1 • Proc6d6 de mise & j our d ' une donn6e sensible 
dans une m6xiioire non-volatile principale (MNVP) , 
comportant les opSrations consistant: ^ : 

- sauvegarder dans une memo ire de sauvegarde non 
5 volatile (MNVS) I'ancienne valeur de la donnee; 

- activer un indicateur de sauvegarde pour indiquer 
qu'une donnee vient d'etre sauvegardee et qu'une 
modification de donnee sensible est en cours; 

- modifier la donnee sensible dans la memoire 
10 principale; 

- et dgsactiver 1' indicateur si la modification de 
la donnee s'est deroul6e correctement , 

ce proc6d6 6tant caract6ris6 en ce que : 

- la memoire de sauvegarde est divisee en zones de 
15 mSmoire; 

- une zone de m6moire respective dif f erente de la 
precedente est utilisee a chague nouvelle mise a jour 
pour sauvegarder I'ancienne donnSe dans la memoire de 
sauvegarde ; 

20 - au moins un champ, appele champ descripteur (F2) , 

des zones de la memoire de sauvegarde est utilise pour 
reperer la zone de memoire de sauvegarde qui doit etre 
utilisee au cours d'une operation de mise a jour* 

25 2. Procedfe de mise a jour d'une donnee selon la 

revendication 1, caracterise en ce que 

- l'op6ration de mise a jour commence par la 
recherche, dans la memoire de sauvegarde, de la 
premiere zone de memoire comportant un champ 

30 descripteur ayant une valeur caractferistique 
d6termin6e; 
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- 1' operation de sauvegarde de I'ancienne donnSe 
comporte la modification du champ descripteur de la 
zone de sauvegarde de I'ancienne donnee et comporte 
fegalement 1' inscription de ladite valeur 

5 caracteristique dans le champ descripteur de la 
premiere zone de m6moire suivant immediatement cette 
zone. 

3. Proc6d§ de mise a jour selon la 
10 revendication 1, caractferise en ce que la valeur 

caracteristique du champ descripteur est une valeur 
nulle correspondant & un effacement global de ce champ. 

4. Proc§d6 de mise jour selon I'une des 
15 revendications 1 et 2, caractferise en ce que la zone de 

sauvegarde comporte un champ descripteur (2) et un 
champ de donnee (F3) , le champ descripteur contenant 
des indications d' interpretation et de contrSle 
d'intfegritfe des donn6es inscrites dans le champ de 
20 donnSes • 

5. Precede de mise a jour selon la 
revendication 3, caracterise en ce que le champ 
descripteur d'une zone de sauvegarde comporte I'adresse 

25 d'origine de I'ancienne donnee sauvegardee dans la 
zone. 

6. Precede de mise a jour selon I'une des 
revendications 3 et 4 , caractferise en ce que 

30 I'indicateur de sauvegarde pour une operation de mise a 
jour fait partie de la zone de sauvegarde utilisee lors 
de cette operation de mise a jour et comporte un bit 
pour indiquer si cette zone comporte une donn6e 
sauvegardee • 
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7. Proc6d6 de mise & jour selon I'une des 
revendications prScfedentes, caracterisfi en ce que d'une 
part il est pr6vu un registre non volatile de 
validitfe (RV) associ6 & la mfemoire de sauvegarde, ce 

5 registre de validity contenant une information de 
validity de chague zone de la mSinoire de sauvegarde, et 
caract6rise d' autre part en ce que ladite zone a 
utiliser pour la sauvegarde de la prochaine donnee est 
la premifere zone valide suivant la zone de sauvegarde 

10 de I'ancienne donnee • 

8. Precede de mise a jour selon I'une des 
revendications prec6dentes, caracterise en ce qu'a 
chague mise sous tension de la m6moire apres une 

15 interruption, on recherche la presence d'un indicateur 
activ6 dans la memoire de sauvegarde, et on reecrit 
dans la memoire principale I'ancienne donnSe 
sauvegard6e dans la zone de memoire de sauvegarde 
correspondant Sl 1' indicateur activ6. 

20 

9. Proc6d6 de mise a jour selon I'une des 
revendications pr6c6dentes, dans lequel on cherche a 
itiettre a jour un ensemble coherent de plusieurs donnfees 
sensibles qui ne doivent pas etre raises a jour 

25 s6par6ment, caracterisS en ce qu'on effectue les etapes 
suivantes : 

a. recherche de la premiere zone de memoire de 
sauvegarde dont le champ descripteur a ladite valeur 
caracter ist ique , 
30 b. sauvegarde d'une donnee sensible dans cette 

zone; 

c. programmation a ladite valeur caractferistique 
du champ descripteur de la zone suivant la zone de 
sauvegarde; 
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d* activation de I'indicateur de la zone de 
sauvegarde 

e. modification de la donnSe sensible 

f. retour a l'4tape (a) si d'autres donnees 
5 sensibles sont encore a mettre ^ jour dans 1' ensemble 

coherent; passage a I'Stape (g) si la dernifere donnfee 
de 1' ensemble vient d'§tre modifiee; 

g- activation d'un indicateur supplementaire qui 
est 1' indicateur de la zone dont le champ descripteur 
10 vient d'etre programme a la valeur caracteristique, 
c'est-a-dire de la zone qui suit la derniere zone de 
sauvegarde utilis6e; 

h. desactivation successive des indicateurs 
deactivation des diff6rentes zones de sauvegarde 

15 utilisees, en commen^ant par la dernidre et en 
remontant jusqu'i la premiere des zones utilisges; 

i. desactivation de 1' indicateur supplementaire. 

10. Proc6d6 de mise & jour selon la revendication 
20 8, caracterise en ce qu'a chaque remise sous tension de 
la carte on effectue les operations suivantes : 

al. recherche d'une zone de sauvegarde ayant son 
indicateur active ; 

bl. recherche d'une zone dont le champ 
25 descripteur est a ladite valeur caractSristique; 

cl. recherche de I'etat de 1 ' indicateur , dit 
indicateur supplementaire, de cette derniere zone* 

dl • si 1 ' indicateur supplementaire n' est pas 
active, restauration dans la memoire principale de 
30 chacune des donnees sauvegardSes dans les zones de 
sauvegarde dont 1 ' indicateur est active ; et 
desactivation a chaque fois de 1' indicateur 
cor respondant • 
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d2 . si 1 ' indicateur supplfementaire est active , 
dfesactivation de tous les indicateurs actives en 
partant de la zone de sauvegarde utilisee en dernier et 
jusqu'& celle utilis6e en premier, puis desactivation 
5 de 1' indicateur suppl6inentaire. 

11. Precede selon la revendication 9, caracterise 
en ce que si a I'etape bl aucune zone n'est trouvee^ 
I'etape dl est effectuee et une 6tape supplementaire de 

10 programmation de zone a la valeur caracteristique est 
effectuee en vue d'une operation de itiise a jour 
ulterieure, 

12. Proc6d6 de mise S jour selon I'une des 
15 revendications pr^cSdentes, caractSrise en ce que 

lorsque toute les zones de la mdmoire de sauvegarde ont 
6t6 utilis6es pour sauvegarder des donnees sensibles, 
1' operation de sauvegarde dans la dernifere zone 
disponible de la mfeinoire de sauvegarde comporte 
20 I'ef f acement du champ descripteur de la premifere zone 
de la memoire de sauvegarde, en vue d'une reutilisation 
de cette memoire. 

13 . Carte a puce comportant un microprocesseur et 
25 une memoire non volatile principale, caracterisee en ce 

qu'elle comporte un programme de systeme en m6moire 
dfefinissant le deroulement des operations de mise a 
jour de donnees sensibles conformement au precede selon 
I'une des revendications precedentes, et un programme 
30 de restauration de donnees S la remise sous tension, ce 
programme comportant la verification systSmatique de 
l'6tat des indicateurs de sauvegarde, la rSinscription 
de donnfees sauvegardfies en fonction de I'fetat des 
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indicateurs, et la d6sactivation des indicateurs 
actives • 
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